Irán ha intensificado sus operaciones cibernéticas contra Estados Unidos, Israel y sus aliados, en un contexto de creciente tensión geopolítica en Oriente Medio. Expertos en ciberseguridad como Chris Krebs, exdirector de la Cybersecurity and Infrastructure Security Agency (CISA), han advertido que Teherán está desplegando un ecosistema de actores cibernéticos cada vez más sofisticado y coordinado.
Durante los primeros meses de 2024 y 2025, múltiples campañas de influencia y ataques híbridos han sido detectados. En Israel, por ejemplo, se registraron campañas de SMS fraudulentos (https://www.aurora-israel.co.il/en/alerta-en-israel-por-mensajes-falsos-que-buscan-robar-datos-personales-en-plena-guerra/) (smishing) que simulaban alertas de emergencia o advertencias de misiles, con el objetivo de generar pánico y recopilar datos personales. Este tipo de operaciones encaja dentro de la estrategia iraní de guerra psicológica digital.
Los analistas coinciden en que el aparato cibernético iraní se estructura en tres niveles principales:
- Actores estatales: vinculados directamente al Islamic Revolutionary Guard Corps (IRGC) (https://en.wikipedia.org/wiki/Islamic_Revolutionary_Guard_Corps#:~:text=The%20Islamic%20Revolutionary%20Guard%20Corps,%2C%20Quds%20Force%2C%20and%20Basij.) y al Ministerio de Inteligencia.
- Grupos proxy o contratistas: colectivos semiautónomos que operan con cierto grado de independencia pero alineados con intereses estatales.
- Hacktivistas ideológicos: grupos voluntarios que apoyan causas geopolíticas afines a Irán.
¿Qué son los Actores estatales?: Son unidades cibernéticas directamente vinculadas al Islamic Revolutionary Guard Corps (IRGC) y al Ministerio de Inteligencia de Irán. Operan con recursos, financiación y objetivos definidos por el Estado, llevando a cabo campañas de espionaje, sabotaje y operaciones de influencia alineadas con la estrategia geopolítica del país. Suelen estar detrás de ataques más sofisticados y coordinados, incluyendo intrusiones en infraestructuras críticas y operaciones encubiertas de largo plazo. ¿Qué son los grupos proxy o contratistas?: Se trata de colectivos semiautónomos que no forman parte oficialmente del aparato estatal, pero que trabajan en alineación con sus intereses. Estos grupos pueden recibir apoyo indirecto, financiación o simplemente actuar como extensiones plausiblemente negables del Estado, lo que permite a Irán mantener cierta distancia ante posibles represalias. Su actividad incluye campañas de phishing, ataques a organizaciones específicas y operaciones de desinformación. ¿Qué son los Hacktivistas ideológicos?: Son grupos o individuos que actúan de manera voluntaria, motivados por afinidad política, religiosa o ideológica con Irán. No necesariamente tienen vínculos formales con el gobierno, pero contribuyen al ecosistema de ataques mediante acciones como defacement de sitios web, filtración de datos o campañas en redes sociales. Aunque suelen tener menos sofisticación técnica, su volumen y rapidez de acción los convierten en un componente relevante dentro de la guerra digital.
Entre los grupos más activos se encuentran colectivos como APT33, APT34 (OilRig) y APT35 (Charming Kitten), ampliamente documentados por empresas como Microsoft y CrowdStrike.
Operaciones destacadas recientes
Las operaciones atribuidas a actores iraníes incluyen:
- Campañas de desinformación dirigidas a audiencias occidentales e israelíes.
- Ataques de phishing y spear-phishing contra funcionarios gubernamentales.
- Doxxing de empleados vinculados a sectores de defensa en Israel.
- Intrusiones en infraestructuras críticas y centros de investigación en Europa del Este.
¿Que es el Spear-Phishing?
El spear-phishing (https://www.arsys.es/blog/spear-phishing?itc=LSOP2E4O-1J1XUL-KD9POFI&gclsrc=aw.ds&&acp=23173244296&avl=|||&utm_campaign=SGE-ES-CLA-CLAX-PMX-----Arsys&utm_source=google&utm_medium=cpc&gad_source=1&gad_campaignid=23168906867&gbraid=0AAAAAD_tijyMkXa5yyT7Xtvo-ZXm0KEx8&gclid=Cj0KCQjwkMjOBhC5ARIsADIdb3cp6ZMqHzzGTu6r445pBrP6_esgQyftxTrtgRwUR9SfZizwlE_D8DIaAqFhEALw_wcB) es una técnica de ataque informático que consiste en enviar mensajes fraudulentos altamente personalizados a una persona o grupo específico, con el objetivo de engañarlos para que revelen información confidencial o realicen alguna acción comprometedora.A diferencia del phishing tradicional, que es masivo y genérico, el spear-phishing se basa en una investigación previa de la víctima. El atacante recopila información como el nombre, la empresa, el cargo o contactos conocidos, y la utiliza para crear mensajes creíbles que aparentan provenir de una fuente confiable, como un jefe, un compañero de trabajo o un proveedor.El objetivo suele ser que la víctima haga clic en un enlace malicioso, descargue un archivo infectado o proporcione credenciales de acceso. Debido a su nivel de personalización, este tipo de ataque es más difícil de detectar y tiene una mayor tasa de éxito, siendo común en campañas de espionaje, fraude empresarial y ciberataques dirigidos.
En Albania, por ejemplo, Irán fue formalmente acusado del ciberataque que afectó sistemas gubernamentales en 2022, lo que llevó a la ruptura de relaciones diplomáticas con Albania. Este caso fue ampliamente atribuido a actores vinculados al Estado iraní.
En cuanto a operaciones más agresivas, algunos grupos como “Handala” han sido asociados con campañas destructivas y de sabotaje digital. Sin embargo, afirmaciones como la “eliminación de 200.000 dispositivos” deben tomarse con cautela, ya que no existe consenso público ni confirmación sólida de esa magnitud en fuentes abiertas verificadas.
Contexto geopolítico y evolución
La actividad cibernética entre Irán, Israel y Estados Unidos no es nueva. Forma parte de un conflicto prolongado que incluye episodios como:
- El Stuxnet attack (https://www.bbc.com/mundo/noticias/2015/10/151007_iwonder_finde_tecnologia_virus_stuxnet), considerado uno de los primeros ciberataques de infraestructura crítica.
- Operaciones continuas de espionaje industrial y militar.
- Campañas de influencia en redes sociales.
Lo que sí ha cambiado en los últimos años es la escala, coordinación y diversidad de tácticas. Irán ha pasado de operaciones relativamente simples a campañas complejas que combinan:
- Ciberataques técnicos
- Guerra informativa
- Operaciones psicológicas
- Uso de inteligencia artificial para amplificar impacto
La guerra ya no se libra únicamente en el terreno físico. Hoy, un simple mensaje SMS puede convertirse en un arma capaz de sembrar miedo, manipular percepciones y comprometer sistemas enteros. El caso de Irán demuestra que el futuro de los conflictos pasa por el dominio del espacio digital, donde la información, la desinformación y la confianza del usuario se han convertido en objetivos estratégicos de primer nivel.